Finfisher-Entwickler Gamma:Spam vom Staat

Anti-government protesters shout slogans while standing in front of laser beams emitted by riot police in the village of Diraz west of Manama

Die Polizei in Bahrain geht mit Laser gegen Demonstranten vor - und auch mit Spitzelsoftware.

(Foto: REUTERS)

Er gilt als bösester Deutsche im Internet: Martin Münch liefert Polizei und Geheimdiensten Überwachungs-Software. Auch Diktatoren drangsalieren damit ihre Bürger.

Von Bastian Brinkmann, Jasmin Klofta und Frederik Obermaier

Im Disney-Film "Mulan" ist alles so einfach. Die Heldin kämpft zusammen mit lauter Männern im chinesischen Militär gegen die Hunnen. Der Film zeichnet Mulans Gegner als schattige, gesichtslose Wesen. Die feindliche Reiterarmee verdunkelt den Horizont. Gut gegen Böse - ein Klassiker.

Martin Münch lebt in einem Disney-Film. Er weiß, wer die Bösen sind. Er weiß, dass er zu den Guten gehört. Es gibt nur ein Problem: Alle anderen wissen es nicht. Für sie steht Münch auf der falschen Seite des arabischen Frühlings, auf der Seite der Unterdrücker. Menschenrechtler prangern an, er liefere Überwachungssoftware an Diktaturen, willentlich oder leichtfertig.

Münch, 31, entwickelt Spähsoftware für Computer und Handys. Sie infiziert das digitale Gedächtnis, sie schnüffelt in der virtuellen Intimsphäre. Polizei und Geheimdienst können dank ihr sehen, welche Krankheitssymptome der Überwachte im Web googelt. Sie hören, was er mit der Mutter über das Internet-Telefon-Programm Skype bespricht. Sie lesen seinen Einkaufszettel auf dem Smartphone. Der Trojaner, der das alles kann, heißt Finfisher. Trojaner wird diese Art Software genannt, weil die Spionagefunktionen eingeschmuggelt werden in einer harmlosen Hülle.

Finfisher-Entwickler Gamma: Martin Münchs Firma Gamma entwickelt den Trojaner Finfisher.

Martin Münchs Firma Gamma entwickelt den Trojaner Finfisher.

(Foto: Robert Haas)

Seit kurzem testet auch das Bundeskriminalamt, ob Finfisher als Bundestrojaner taugt. Auf sein Produkt ist Münch stolz. Zum ersten Mal zeigte er jetzt deutschen Journalisten, dem NDR und der Süddeutschen Zeitung, wie Finfisher funktioniert. Bisher durften Medien nicht in die Entwicklerbüros in Obersendling in München.

Auf den Glastüren steht der Firmenname: Gamma Group. Ein Dutzend Mitarbeiter sitzt vor Bildschirmen, die Programmierer gleich vor mehreren. Hinter dem Bürostuhl des Chefs Münch hängt eine Aluminiumplatte mit dem Firmenlogo. Er teilt sich seinen Schreibtisch mit dem Kollegen, der den IT-Notruf betreut. Ihm gegenüber klingelt also das Telefon, wenn irgendwo auf der Welt die Strafverfolgung klemmt. Er ist also sehr nah dran an den Ermittlern, auch sprachlich. "Wenn wir Pädophile verhaften, haben wir ein Problem: Die sperren ihre Rechner automatisch", sagt Münch, als fahre er bei den Einsätzen mit, und präsentiert schwungvoll die Lösung: einen USB-Stick von Gamma in den PC, und die Daten sind gerichtsfest gesichert.

Münch kann so technisches Spielzeug gut erklären. Vielleicht, weil er sich das alles selbst beigebracht hat. Er hat keine Fachausbildung, er hat nicht Informatik studiert, nur drei Semester Jazzklavier und Gitarre. Er war mit einer Band auf Deutschlandtournee, trat als Bassist einer Casting-Girlband bei "Popstars" auf. Steht er dagegen heute auf der Bühne, zeigt er auf Sicherheitskonferenzen, wie man Rechner infiziert. Für die Ermittler ist Münch ein bisschen wie Mushu, der kleine Drache aus "Mulan", dem Disney-Film von 1998. Er ist der coole Helfer, der Mulan bei der Armeeausbildung und im Kampf beisteht. Münch hat eine Firma, über die er 15 Prozent der Anteile der Gamma International GmbH hält. Er hat sie Mushun genannt, nach dem Drachen aus dem Film, nur mit einem zusätzlichen "n" am Ende, sagt er. Dann lacht er verlegen. Doch ist er nicht nur Miteigentümer, sondern auch Geschäftsführer bei Gamma.

Geschäftsführer Münch sagt, er kenne nicht alle Geschäftszahlen

Mit Medien hat Münch noch nicht viel Erfahrung. Der Süddeutschen Zeitung und dem britischen Guardian liegen Dokumente vor, die zeigen, dass die Gamma-Gruppe eine Firma im Steuerparadies Britische Jungferninseln besitzt. Darauf angesprochen, bestritt Münch vor einigen Wochen erst vehement, dass die Gesellschaft überhaupt existiert. Als der Guardian dann Belege schickte, entschuldigte er sich. Er habe gedacht, dass die Tochter wirklich nicht existiert, schrieb er nach London. Auch nun beantwortet Geschäftsführer Münch Fragen zum Geschäft immer wieder ausweichend. Zahlen, Firmenpartner kenne er nicht. "Ich bin ein kleiner Techniker", sagt Münch. Die strategischen Entscheidungen in der Firma treffe aber trotzdem er.

Finfisher-Entwickler Gamma: So bewirbt der Gamma-Prospekt den Trojaner für Handys namens Finspy Mobile.

So bewirbt der Gamma-Prospekt den Trojaner für Handys namens Finspy Mobile.

Gammas Bestseller aus der Finfisher-Familie heißt Finspy. Münch beugt sich über den Apple-Laptop und zeigt, was das Programm kann. Er steckt das Internetkabel in den Rechner und tippt "mjm" in das Feld für den Benutzernamen, für Martin Johannes Münch. Zuerst wählt der Nutzer das Betriebssystem aus, das er angreifen will: ein iPhone von Apple, ein Handy mit Googles Betriebssystem Android oder einen PC mit Windows oder dem kostenlosen System Linux? Der Ermittler kann eingeben, über wie viele Server in verschiedenen Ländern der Trojaner Haken schlägt, bis auch technisch versierte Opfer nicht mehr nachvollziehen können, wer sie da eigentlich überwacht. Der Trojaner kann ein Sterbedatum bekommen, an dem er sich selbst löscht. Genehmigt ein Richter später eine längere Überwachung, kann das Datum nach hinten geschoben werden.

Dann darf der Ermittler auswählen, wie fies der Trojaner werden soll, was er können darf: das Mikrofon als Wanze benutzen. Gespeicherte Dateien sichten und sichern, wenn sie gelöscht oder geändert werden. Mitlesen, welche Buchstaben der Nutzer auf der Tastatur drückt. Den Bildschirm abfilmen. Skype-Telefonate mitschneiden. Die Kamera des Rechners anschalten und sehen, wo das Gerät steht. Handys über die GPS-Ortungsfunktion zum Peilsender machen. Finspy präsentiert die überwachten Geräte als Liste. Flaggen zeigen, in welchem Land sich das Ziel befindet. Ein Doppelklick, und der Ermittler ist auf dem Rechner.

Der Trojaner ist so mächtig, als würde jemand dem Computernutzer über die Schulter gucken. Deswegen kommen Ermittler so auch Verdächtigen auf die Schliche, die ihre Festplatte mit einem Passwort sichern und nur verschlüsselt kommunizieren. Der Trojaner liest einfach das Passwort mit. Doch die meisten Funktionen von Finspy sind in Deutschland illegal.

Und Finspy kostet. Der Preis geht bei etwa 150.000 Euro los und kann ins siebenstellige gehen, sagt Münch. Denn Gamma baut für jeden Kunden eine eigene Version des Trojaners, die mit dem Recht des Landes konform sein soll. Für jeden überwachten Computer müssen Ermittler eine Lizenz von Gamma kaufen. Die meisten Behörden würden fünf Lizenzen erwerben, sagt Münch, manchmal vielleicht auch zwanzig. "Ziel sind einzelne Straftäter." Ein "mutmaßlich" benutzt er nicht, im Gespräch verwendet er die Worte "Kriminelle" und "Straftäter", als seien es Synonyme für "Verdächtige" und "Zielperson".

Alaa Shehabi ist so eine Zielperson. Ihr Vergehen: Sie kritisierte die Regierung ihres Landes. Die junge Frau ist in Bahrain geboren, einem Inselstaat im Persischen Golf, etwa so groß wie das Stadtgebiet von Hamburg. Ein Königreich - und ein Polizeistaat. Der sunnitische Regent Hamad Ben Isa al-Khalifa herrscht über eine schiitische Bevölkerungsmehrheit. Als der arabische Frühling vor zwei Jahren auch in sein Land schwappte und Shehabi mit Tausend anderen Reformen forderte, rief der König die Armee von Saudi-Arabien zur Hilfe. Fotos und Videos im Internet zeigen geschundene Körper, von Tränengas verätzte Augen und von Schrotkugeln durchlöcherte Leiber. Es sind die Bilder eines blutig niedergeschlagenen Protestes.

Finfisher-Entwickler Gamma: Die Polizei greift mit Tränengas an: Bei Protesten starben Demonstranten

Die Polizei greift mit Tränengas an: Bei Protesten starben Demonstranten

(Foto: Getty Images)

Die Formel-1-Veranstalter sahen darin kein Problem und luden vergangenen April zum Großen Preis von Manama, einem glitzernden Großereignis mitten in einem gebeutelten Land. König Khalifa wollte zeigen, wie weltoffen Bahrain sei. Die Opposition hingegen versuchte, zumindest einigen angereisten Journalisten die Wahrheit zu berichten. Auch Shehabi, die ihre dunklen Haare unter einem Schleier verbirgt, traf sich mit Reportern. Sie erzählte von der Polizeigewalt, von den Verletzten, den Toten. Sie brach ein Tabu.

Informatiker entdecken im Code ein Schlüsselwort: Finspy

Shehabi war vorsichtig, achtete darauf, dass niemand sie beobachtete, schaltete während des Interviews ihr Handy aus. Trotzdem besuchten Polizisten sie wenig später. Sie fragten, was sie den Journalisten erzählt habe, und warnten sie, so etwas nie wieder zu tun. Die Beamten ließen sie laufen, doch dann kam die erste E-Mail. Im Betreff stand "torture report on Nabeel Rajab", im Anhang angeblich Fotos des gefolterten Rajab. Er ist ein Freund Shehabis, ein Oppositioneller wie sie. Shehabi versuchte, die Datei zu öffnen. Es ging nicht. Gut für sie: Denn im Anhang war ein Trojaner von Gamma versteckt. Shehabis E-Mails sollten mitgelesen, ihre Telefonate abgehört werden. Der Polizeistaat Bahrain hatte sie im Visier, und Martin Münchs Software half dabei. Auch andere Oppositionelle berichten von ominösen E-Mails. Mal lockten sie ihre Opfer damit, dass der König zum Dialog bereit sei, mal mit vermeintlichen Folterfotos.

Selbst im Ausland haben Exil-Bahrainer diesen Regierungs-Spam bekommen. Husain Abdulla etwa, der im US-Bundesstaat Alabama eine Tankstelle betreibt und in Washington Lobbyarbeit für Bahrains Opposition macht. Das Königshaus hat ihm deswegen die Staatsbürgerschaft entzogen, wollte ihn aber trotzdem überwachen und schickte ihm einen Trojaner. Die bahrainische Regierung versuchte also, auf US-Boden einen US-Bürger auszuspähen. Gamma macht's möglich: "Wenn Finspy Mobile auf einem Handy installiert ist, kann es aus der Ferne überwacht werden, wo auch immer sich das Ziel in der Welt befindet", heißt es dazu in einem Prospekt.

Die Universität von Toronto in Kanada hat die EMails an Shehabi und Abdulla untersucht. An ihrem Forschungsinstitut Citizen Lab entschlüsselte Morgan Marquis-Boire, Software-Ingenieur bei Google, das Spähprogramm. Er baut einen virtuellen Sandkasten, setzt einen Computer in die Mitte und lässt den Trojaner auf das abgegrenzte Spielfeld. Dann protokolliert Marquis-Boire, wie das Programm den PC kapert, Passwörter kopiert, Skype-Gespräche aufzeichnet, den Bildschirm abfotografiert. Die gesammelten Daten funkt der Trojaner an einen Server in Bahrain. Marquis-Boire entdeckt im Programmcode das Kürzel "finspyv2" - die zweite Version von Finspy. Auch "Martin Muench" steht da. Münch schreibt seinen Namen seit Jahren mit "ue".

Finfisher-Entwickler Gamma: Citizen Lab fand Münchs Namen im Code des Trojaners.

Citizen Lab fand Münchs Namen im Code des Trojaners.

(Foto: Citizen Lab)

Schnüffelsoftware für einen Polizeistaat? Auf die Vorwürfe reagiert Gamma merkwürdig. Münch verschickt eine Pressemitteilung, in der steht, dass eine Demoversion für Kunden gestohlen worden sei. Eine klare Aussage zu Bahrain gibt es nicht. Münch sagt nicht, wer Gammas Kunden sind. Er sagt auch nicht, wer nicht Kunde ist. Alles ganz geheim. So muss die Firma damit leben, dass Reporter ohne Grenzen und andere Menschenrechtsaktivisten in dieser Woche eine offizielle Beschwerde beim Bundeswirtschaftsministerium einlegten. Sie verlangen schärfere Kontrollen, wohin Gamma exportiert, und berufen sich dabei auf - allerdings freiwillige - Empfehlungen der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD). Nimmt das Ministerium die Beschwerde an, könnten als nächster Schritt Gamma und die Aktivisten versuchen, hinter verschlossenen Türen im Ministerium eine Einigung zu finden.

Münch wiederholt bei jeder Gelegenheit, dass seine Firma die Exportgesetze in Deutschland einhält. Das soll vorbildlich wirken, aber in Wirklichkeit werden aus München gar keine Finfisher-Produkte verschickt. Das geschieht von England aus. In Andover, nicht weit von Stonehenge, sitzt die Muttergesellschaft von Gamma International, die Gamma Group. Gründer und neben Münch Mehrheitseigentümer ist Louthean Nelson; die Gruppe beschäftigt 85 Mitarbeiter.

In Großbritannien und Deutschland gilt allerdings dieselbe EU-Verordnung über den Export von Überwachungstechnik. Überwachungstechnologien sind im Sinne dieses Gesetzes keine Waffen, sondern Güter, die sowohl zivil als auch militärisch genutzt werden können. Fachwort: dual use. Dementsprechend sind die Auflagen deutlich harmloser als für Panzerverkäufe. Am Ende läuft es darauf hinaus, dass Gamma vom Kunden ein Zertifikat bekommt, demzufolge Finfisher wirklich beim richtigen Adressaten installiert wurde, gestempelt vom Staat selbst. Das Papier heftet Gamma ab. Wie oft und genau das Bundesamt für Ausfuhrkontrolle Gamma prüft, wollen weder Münch noch das dafür zuständige Bundeswirtschaftsministerium sagen.

Wie viele Diktaturen Gamma-Kunden sind, ist nicht bekannt. Das Institut Citizen Lab aus Toronto hat in vielen Ländern Server mit Spuren von Finfisher gefunden. Brunei, Äthiopien, Turkmenistan, die Vereinigten Arabischen Emirate - klingt wie das Kellerduell im Demokratie-Ranking. Doch auch in Staaten wie Tschechien und den Niederlanden fanden die Informatiker Gamma-Server. All diese Länder müssen aber nicht Kunden sein. Jeder Geheimdienst könne schließlich die Daten seines Finfisher-Trojaners durch diese Staaten umleiten, um sich zu tarnen, erklärt Münch. Solche Aussagen können Externe technisch nicht überprüfen.

Münch verspricht einen Menschenrechtsbeauftragten - sich selbst

In der ungeliebten Öffentlichkeit steht Gamma seit dem arabischen Frühling. Ägyptische Protestler fanden in einer Behörde ein Angebot der Firma an ihre gestürzte Regierung, einen Kostenvoranschlag für Software, Hardware, Training, 287.137 Euro. Eine Lieferung habe es nie gegeben, behauptet Münch.

Für Andy Müller-Maguhn ist Gamma trotzdem ein "Software-Waffenlieferant". Er hat eine Webseite zu dem Thema aufgesetzt mit dem Namen buggedplanet.info. Dort protokolliert er Unternehmensdaten, Presseberichte, verwickelte Personen. Müller-Maguhn war früher Sprecher des Chaos Computer Clubs. Ein Video auf Youtube zeigt, wie er sein Projekt 2011 auf der Jahreskonferenz des deutschen Hackervereins präsentiert. Müller-Maguhn ruft seine Seite über Münch auf; die erscheint auf einer Leinwand, mit Geburtsdatum, Privatadresse und Foto von Münch. Der steigt da gerade aus einer Cessna, mit Sonnenbrille und Fliegerjacke, und sieht ein bisschen proletenmäßig aus. Müller-Maguhns Zuschauer lachen.

Seine Webseite ist auch ein Pranger. "Dass ihre privaten Details in der Öffentlichkeit diskutiert wurden, halte ich für sehr fair, wenn man sich anschaut, was die mit den Leben anderer gemacht haben", sagt Müller-Maguhn auf der Bühne. "Ich glaube, das ist ein Weg, damit die Leute über Privatsphäre nachdenken." Applaus und Jubel sind kurz lauter als seine Stimme. Er zuckt mit den Schultern. "Sie wollten nicht am öffentlichen Diskurs teilnehmen. Das wäre vielleicht die Alternative."

Seit seine Adresse bekannt ist, bekommt Münch Postkarten, auf denen nur steht: "Ich habe ein Recht auf Privatsphäre." Kein Absender.

Spricht Münch über seine Kritiker, klingt er ehrlich entrüstet: "Wir haben immer dieses Bad-Boy-Image. Ist aber kein schönes Gefühl." Zumal es unverdient sei: "Manche Leute sagen: ,Das mag ich nicht, das geht ins Privatleben.' Aber die Tatsache, dass sie es nicht mögen, heißt nicht, dass wir etwas Illegales machen." Er selbst finde zum Beispiel die Fernsehsendung Deutschland sucht den Superstar "scheiße", aber deswegen sei die nicht illegal.

Trotzdem verspricht Münch nun eine Wende, mehr Transparenz, echte Konsequenzen. Im Gamma-Vorstand solle es demnächst einen Menschenrechtsbeauftragten geben. Den Titel werde wohl er selbst bekommen, sagt Münch. Das ist heikel. Nach einem mehrstündigen Gespräch bleibt der Eindruck, dass der moralische Kompass des Martin Münch keine Nadel hat. "Ich bin politisch neutral", sagt er.

Doch immerhin lässt er einen Verhaltenskodex schreiben, der den Export in Länder ausschließen soll, die Menschenrechte verletzen. Gamma sei mit zwei Menschenrechtsgruppen in Kontakt, Namen nennt er nicht. In Grenzfällen sollen sie als Berater mitarbeiten. Denn er selbst traut sich eine klare Unterscheidung nicht zu: Schließlich folterten auch die USA in Guantanamo - seien sie deshalb ein Unrechtsstaat? "Wie viel Folter ist noch akzeptabel?" fragt Münch. Sollten aber sämtliche Menschenrechtsorganisationen einen Staat verurteilen, wird Gamma keine Produkte mehr dorthin verkaufen, sagt er - selbst wenn das Land noch nicht auf den rechtlich verbindlichen, staatlichen Warnlisten auftaucht. Ein kleines Versprechen gegen große Aufruhr.

Der Skandal, sagt Münch, habe ihn unglaublich überrascht: "Software foltert keine Leute." Er könne die Aufregung nicht verstehen. "Ich finde es gut, dass die Polizei ihren Job macht." Die Bösen jagen. In Bahrain heißt das: politische Gegner.

Zur SZ-Startseite
Jetzt entdecken

Gutscheine: